|
Viren nur duch Internetverbindung? Seid gegrüßt ihr Meister des binären Codes :) . Ich bin ein wenig verunsichert.... vielleicht könnt ihr einem I-Net Opa wie mir ein wenig auf die Sprünge helfen? Ich nutze Windows XP home edition, alle Patches sind installiert, eine Firewall existiert. Ich scanne regelmäßig mit Norton, Ad-aware und eScan, sowohl im normalen als auch im abgesicherten Modus, ohne dabei auf Auffälligkeiten zu stoßen. Was mich irritiert: Etwa 1 bis 2 mal pro Woche warnt mich Norton vor einem Virus/Trojaner und isoliert diesen während ich online bin, ohne das ich zu dem Zeitpunkt irgendetwas downloade oder anklicke (die Anzeige von Dateien im WMF Format hab ich deaktiviert, der entsprechende MS Patch ist installiert). Frage: Bedeutet dies zwangsweise, dass irgendein Programm im Hintergrund läuft und versucht Malware bei mir zu installieren? Oder gibt es auch andere Erklärungen für diese Erscheinungen? Reicht es vielleicht aus einfach nur eine bestehende I-Netverbindung zu haben um von Viren attackiert zu werden? Zur Sicherheit noch ein aktuelles Log-File: Logfile of HijackThis v1.99.1 Scan saved at 14:14:34, on 27.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe C:\WINDOWS\System32\SpUpdate.exe C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINDOWS\System32\DSentry.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Creative\SBLive\Diagnostics\diagent.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Program Files\SmartGet\SpAgent.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {419ECCA3-DD98-483E-BCF3-60E9F70ED398} - C:\WINDOWS\System32\hkodn.dll (file missing) O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [SpLauncher] C:\WINDOWS\System32\SpUpdate.exe O4 - HKLM\..\Run: [SmartShowStarter] C:\WINDOWS\System32\SsStarter.exe O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.p0rt2.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120151324328 O17 - HKLM\System\CCS\Services\Tcpip\..\{4E37AF6E-9651-40E5-BE4A-89DF64E335C1}: NameServer = 217.237.148.65 217.237.148.33 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe Grüße Quawn |
Die SpUpdate bringe ich irgendwie in Verbindung mit einem alten Blaster ... Auch ein Registrierungseintrag erscheint mir spanisch. Tut mir Leid, aber meine Meinung reicht hier noch nicht bzw sie wäre unsicher - eine Zweite Analyse abwarten :kloppen: mfg, Markus |
Zitat:
Ansonsten, ergänzend zu Markus1234: Zitat:
Ich rate dir zu einem eScan, Anleitung in der Signatur genau beachten. Funde dann mit der find.bat posten. Gruß :daumenhoc Yopie |
@Quawn Hast Du selbst die Software "SoftProbe Analyzer" installiert? Wenn ja was willst du mit dem "key-logger" überwachen? Dein Netzwerk? und bei diesem Eintrag bin auch ich mir nicht sicher: O15 - Trusted Zone: *.p0rt2.com / dieser sollte eigentlich zu fixen sein, auf jeden Fall kein Trojaner! (meintest du den Markus=?) Gruß:daumenhoc Daniel |
Zitat:
Ja, es muß ermüdent sein, jedem Anfängr hier aufs neue die Basics beizubringen, um so mehr Danke ich euch für eure Geduld :knuddel: Hab die Viren im Anflug von Panik immer direkt gelöscht (was jetzt hier kontraproduktiv ist), über den letzten hab ich noch Notizen: download.trojaner Pfad C:\Windows\system32\eid.exe Beim ersten eScan wurden 2 Browser Hijacker gefunden (hab ich mit Total Comander gelöscht:headbang: ), weitere scans waren ohne jegliches Ergebnis |
Zitat:
Ich wußte gar nicht das die Software bei mir drauf ist, geschweige das ich sie bewußt selbst installiert habe :confused: Wo hast du sie denn entdeckt? Und wie fixe ich den pOrt2.com ? mit Hijackthis? |
Zitat:
Die Funde hast du auch nicht so gepostet, wie ich es dir geraten habe. So geht das nicht mit der Hilfe, sorry. Gruß :daumenhoc Yopie |
@Quawn: Wie hießen denn die Hijacker nach denen "YOPIE" gefragt hat? Und dieses monitoring-tool: C:\Program Files\SmartGet\SpAgent.exe kommt mir auch komisch vor! Wenn du sagst das du es nicht selbst installiert hast? @Yopie ist das Zusatzsoftware von einem anderen Programm? oder einfach nur Spyware = McAfee Sehe das als riesige Sicherheitslücke bei "Quawn", da Softprobe ziemlich viel protokolliert! |
Zitat:
Ein Scan hat 1 Stunde und 15 Minuten gedauert, hab den ersten Log (den mit den beiden Funden) leider nicht mehr, sonst hätte ich ihn hier schon gepostet :heulen: Darf ich euren Worten entnehmen das ich vermutlich ein Problem hab und die Festplatte neu formatieren muß :( ? |
Zitat:
|
Zitat:
@Quawn: Ah ok. :) Leider sehen wir den Rechner jetzt nicht mehr im Ursprungszustand und stochern daher ein bisschen im Nebel. Hältst du den Rechner noch für kosher? Wenn nein, dann setz ihn neu auf! (Ich würde es machen...) Gruß :daumenhoc Yopie |
Zitat:
C:\Program Files\SmartGet\SpAgent.exe McAfee Gruß Daniel |
Zitat:
|
@[Gc]Sunny: Möglich, aber das "SmartGet" kann ich nicht einordnen. @Quawn: Wir haben da so eine wirklich gut verständliche Anleitung. ;) Ausserdem hast du nach dem Neuaufsetzen die Gewissheit, dass der Rechner sauber ist, und kannst dir dann ein sauberes Image basteln. Für den Fall, dass später mal wieder Unsicherheiten auftreten, kannst du dann das Image ohne großen Aufwand wieder einspielen. Letztenendes bleibt es natürlich deine Entscheidung, aber irgendwas komisches läuft auf deinem Rechner schon ab. Gruß :daumenhoc Yopie |
Ok, ich denk drüber nach .... Vielen Dank für eure Hilfe :) Quawn |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board